Angriffsziel Bitcoinbörse: Bter und Exco.in gehackt

Mehrere Bitcoin-Börsen hatten in den vergangenen Tagen mit Attacken zu kämpfen – in zwei Fällen waren die Angreifer wohl auch erfolgreich: Der chinesischen Bitcoinbörse Bter wurden laut eigenen Angaben 7170 Bitcoin gestohlen (zur Stunde rund 1,47 Millionen Euro). Dabei gelang es den Hackern offenbar, auf die Cold Wallet zuzugreifen.

Bter geht allerdings zum Gegenangriff über und verspricht eine Belohnung von 720 Bitcoin zur Ergreifung des Täters: Als Anhaltspunkt zur Rückverfolgung veröffentlichte die Börse die Transaktion, mit der die Cold Wallet geleert wurde. Momentan ist die Plattform außer Betrieb, inwieweit Kundengelder vom Verlust betroffen sind und wann Nutzer wieder auf ihre Guthaben zugreifen können, ist zur Stunde noch offen.

Auf welche Weise sich die Angreifer Zugriff auf die Cold Wallet verschaffen konnten, ist ebenfalls unklar. Cold Wallets bezeichnen Wallets ohne Verbindung zum Internet, in denen zum Beispiel eine Börse den Großteil ihrer Kryptogelder sichert. In der Hot Wallet wiederum wird eine Börse im Regelfall nur so viel vorhalten, wie für den laufenden Betrieb nötig ist.

Exco.in leergeräumt

Abgeräumt wurde offenbar auch bei der Börse Exco.in, die vom Startup Blackwavelabs betrieben wird: Durch Angriffe am 6. und 10. Februar soll es einem unter dem Namen „Ambiorx“ gemeldeten Nutzer gelungen sein, auf sämtliche Bitcoinguthaben der Börse zuzugreifen, heißt es auf der Website. Damit fehlten die Mittel, den Handelsbetrieb fortzusetzen – die Plattform werde geschlossen. Kunden könnten aber weiterhin ihre verbliebenen Guthaben abheben. Genaue Angaben zur Menge der geraubten Coins machte die Börse nicht. Alle verbliebenen Vermögenswerte sollen liquidiert werden und der Erlös in Bitcoin getauscht werden, um Verluste zu erstatten.

Die Börsenbetreiber berichten, dass während eines DDoS-Angriffs auf die Plattform zwei Trades auf den benannten Account "außer Kontrolle geraten seien“, vermutlich durch Ausnutzung eines Bugs oder Exploits. Offenbar konnten der oder die Angreifer die Trade-IDs manipulieren und dadurch das System überzeugen, den gleich Betrag wieder und wieder anzuweisen, ohne einen Alarm auszulösen.

Das Team der Börse habe zwar eine Abnahme der Hotwallet-Guthaben bemerkt, dies fatalerweise aber für legitime Abhebungen von Nutzern gehalten, die ihr Geld vor dem DDoS-Angriff in Sicherheit bringen wollten. Daher habe man auch die kompletten Gelder aus der Cold Wallet übertragen, was den Ganoven das Ausplündern der gesamten Börsen-Bitcoins ermöglichte. Die geraubten Coins sollen die Angreifer dann komplett in die Kryptowährungen Nubits und Nushares getauscht und auf Adressen außerhalb der Börse verschoben haben. Auf ihrer Seite veröffentlicht die Börse bislang gesammelte Informationen über die Täter, unter anderem verwendete Kryptogeld-Adressen, die eine Nachverfolgung möglich machen könnten.

Weitere DDoS-Attacken

Abgesehen von den beiden Fällen sollen Unbekannte am Sonntag per DDoS auch bei den Börsen Huobicoin und Holytransaction angeklopft haben, wie beide Plattformen via Twitter mitteilten. Zu Kompromittierungen sei es aber nicht gekommen. Ob es sich um die gleichen Täter handelt, die reihum bei verschiedenen Börsen ihr Glück versucht haben, ist offen.

[UPDATE: 16.02.2015, 17:20]

Auch die dänische Kryptogeldbörse CCEDK berichtet, am Sonntag und Montag von DDoS-Attacken getroffen worden zu sein. Die Kundenguthaben seien jedoch sicher. Dem Blog Cointelegraph zufolge könnte eine Hackergruppe namens DD4BC hinter den Attacke auf Exco.in stehen – die Gruppe wurde bereits auch von Holytransaction als Schuldige für die Überlastungsattacke genannt. DD4BC hatte bereits im vergangenen Jahr durch Erpressungsversuche mit DDoS-Angriffen von sich reden gemacht. (axk)